matrix technology AG

03.04.2019

Aktualisierte EBA „Guidelines on outsourcing arrangements“

Ende Februar dieses Jahres hat die European Banking Authority (EBA) die überarbeiteten Guidelines on outsourcing arrangements veröffentlicht und stellt damit betroffene Unternehmen vor neue Herausforderungen und Handlungsbedarf.

Die europäische Bankenaufsicht (European Banking Authority, kurz: EBA) hat am 25. Februar eine neue 125-seitige Richtlinie zum Thema Outsourcing (EBA Guidelines on outsourcing arrangemets) veröffentlicht. Diese treten am 30. September 2019 in Kraft.

Da europäische Papiere im Vorfeld im Rahmen der Konsultationsphase mit den nationalen Aufsichtsbehörden abgestimmt werden, ist zu erwarten, dass die deutschen Aufsichtsbehörden die Inhalte dieser Regelung ohne signifikante Änderungen in das nationale Regelwerk übernehmen werden.

Die neue Richtlinie ersetzt die alte Richtlinie zu diesem Thema, die aus dem Jahr 2006 datiert, und integriert die Inhalte der erst kürzlich in Kraft getretenen Empfehlungen zur Auslagerung an Cloud-Anbieter der EBA.

Was ändert sich nicht?

Inhaltlich stärkt die neue Richtlinie das übergeordnete Ziel, die Verantwortung für ausgelagerte Services weiterhin beim Management des auslagernden Finanzinstituts zu belassen. Soweit stellt dies keine Überraschung dar, sondern ist vielmehr eine konsequente Weiterverfolgung eines Weges, der bei aller Einsicht in die Notwendigkeit eines technischen Fortschritts auch immer Wert auf Verantwortung und aktives Management von Risiken legt.

Die Kernaussagen waren auch vor der Veröffentlichung der neuen Richtlinie bekannt, werden aber in diesem Papier noch einmal dediziert zusammengefasst:

  • Verantwortung verbleibt beim Management des Finanzinstituts
  • Besonderes Augenmerk wird darauf gelegt, dass die Kontrollfähigkeit bei Dienstleistern auch im Ausland erhalten bleibt
  • Die Anforderungen steigen mit der Kritikalität des outgesourcten IT-Services

Explizit wird zudem noch einmal auf die die oft kontrovers diskutiert Frage nach einer Zulässigkeit von kritischen Funktionen eingegangen:

Auch kritische Funktionen können outgesourct werden, wenn diese unter Risikoaspekten beleuchtet werden (in Verbindung mit EBA Guidelines on internal governance, on supervisory review and evaluation process (SREP), sowie mit der Guideline on information and communication technology (ICT) risk assessment).

Was ändert sich?

Die erste signifikante Änderung betrifft den Geltungsbereich der neuen Richtlinie, die nun im Gegensatz zur alten Richtlinie nicht nur ausschließlich für Kreditinstitute, sondern ab sofort für alle Finanzinstitute gilt. Damit umfasst der Geltungsbereich auch die bisher nicht betroffenen Investmentfirmen und Zahlungsdienstleister.

Auch inhaltlich dürften einige Festlegungen der Richtlinie Handlungsbedarf bei den betroffenen Instituten auslösen. Die EBA fordert unter anderem ein standardisiertes Risikomanagement, Meldepflichten, wie sie aus dem Versicherungswesen bereits bekannt sind, und Mindeststandards an die Dokumentation.

Im Einzelnen ergibt sich Handlungsbedarf auf folgenden Themenfeldern:

  • Verschärfte Anforderungen an das Risikomanagement (auch für Fremdbezug!)
  • Interessenskonflikte (keine zwingende Bevorzugung von verbandsinternen Auslagerungen)
  • Erhöhte Anforderungen an Auslagerungsregister
  • Meldepflicht für wesentliche Auslagerungen
  • Standardisierter Risikoanalyseprozess
  • Risikobetrachtung Drittländer
  • Szenarioanalysen im Rahmen der Risikobewertung
  • Schriftlich dokumentierte Due Dilligence
  • Anforderungen an Auslagerungsverträge standardisiert
  • Prüfrechte auch für nicht wesentliche Auslagerung
  • Offenlegung der relevanten Prüfungen verpflichtend

Mit diesen Änderungen regelt die EBA nun Themen im Detail, die bisher eigenverantwortlich durch die Institute abgearbeitet werden konnten. Abhängig vom Abweichungsgrad zu der neuen Richtlinie ergibt sich für die Institute mehr oder weniger Aufwand, der aber erst nach einer individuellen Prüfung abgeschätzt werden kann.

Was ändert sich für IT-Outsourcing-Dienstleister?

Auch diese Frage kann nicht pauschal beantwortet werden, da sie immer vom individuellen Vertragskonstrukt abhängt. Die gute Nachricht ist jedoch, dass sich für Dienstleister, die ihre Verträge im Einklang mit aktuell gültigen Regeln abgeschlossen haben, der Aufwand für Anpassungen in überschaubaren Grenzen halten sollte.